IA, quantique, cybersécurité : sommes-nous prêts?

Le domaine de la cybersécurité s'adapte à deux changements technologiques majeurs. Premièrement, l'évolution rapide de l'intelligence artificielle présente des opportunités, mais aussi un double défi, car elle est également utilisée pour lancer des attaques plus sophistiquées et créer des deepfakes convaincants à des fins malveillantes. 

Deuxièmement, les progrès constants de l'informatique quantique signifient qu’il faut, à terme, développer et adopter de nouvelles méthodes de chiffrement pour garantir la protection future des données.

Lors de la conférence SCynergy 2025, un panel d'experts a expliqué ce que ces développements signifient pour les entreprises et comment les sociétés, les gouvernements et les utilisateurs quotidiens peuvent mieux se préparer pour anticiper et faire face aux menaces.

«Notre monde numérique tout entier repose sur la confiance que nous accordons à la cryptographie, des signatures numériques aux crypto-actifs», a déclaré Christophe Bianco, Head of Sales & Bids de la Cyber Digital Solutions Business Line chez Thales Luxembourg. «Le problème, c'est que demain, ces protections ne seront plus fiables». En effet, l'immense puissance de calcul de l'informatique quantique sape directement les fondements de la cryptographie moderne, rendant les méthodes de chiffrement actuelles inefficaces.

La stratégie «Récolter maintenant, déchiffrer plus tard» (Harvest now, decrypt later), par laquelle des acteurs hostiles collectent et stockent activement des quantités massives de données chiffrées en attendant de pouvoir utiliser des ordinateurs quantiques pour percer ces secrets, est une préoccupation de cybersécurité grandissante que les panélistes ont explorée. 

«Pensez à toutes les données récoltées jusqu'à présent», a insisté M. Bianco. «Pensez à l'identité numérique sur laquelle vous comptez et pensez à toute la confiance qui est en place dans notre économie digitale. Tous ces éléments seront remis en question assez rapidement.»

Beaucoup pensent que ce problème n'arrivera que dans une décennie. Cependant, avec des investissements massifs au niveau des États et les affirmations de chercheurs chinois sur le décryptage de chiffrements de niveau militaire à l'aide d'un ordinateur quantique, le panel a conclu que le moment d'agir est maintenant.

Comment les organisations peuvent-elles se préparer?

Jean-François Mairlot, Customer Success Manager chez IBM Luxembourg, a présenté une méthodologie pratique en trois étapes que les entreprises peuvent adopter immédiatement, basée sur leur approche interne:

1. Évaluer: On ne peut pas protéger ce que l'on ne connaît pas. La première étape consiste à analyser les applications et les systèmes pour identifier chaque instance d'algorithmes cryptographiques afin de comprendre son exposition exacte. «Nous avons des solutions qui aident établir la liste des vulnérabilités et à créer ce que nous appelons une CBOM (Cryptographic Bill of Materials, ou nomenclature cryptographique) pour savoir exactement quels sont les risques et les vulnérabilités des applications.»
2. Prioriser: En se basant sur cet inventaire, hiérarchiser les mesures à prendre en fonction des systèmes présentant le plus de risques. Cela permet aux organisations de concentrer leurs efforts là où ils comptent le plus. «Il existe également des outils qui analysent le trafic et le réseau et délivrent des recommandations sur les points à cibler en premier.»
3. Remédier: M. Mairlot a également expliqué que des solutions puissantes de remédiation existent déjà sous la forme de nouveaux algorithmes post-quantiques (quantum-safe). «Nous avons contribué à trois des quatre algorithmes qui ont été retenus par le National Institute of Standards and Technology du département du Commerce des États-Unis en 2022.» Début 2025, IBM s'est également associé au géant des télécommunications Vodafone pour protéger les smartphones contre les futurs risques de sécurité en utilisant sa technologie post-quantique.

Mark Tehrani, fondateur de la startup de cybersécurité quantique Cyberseq, et Steven Maas, Sales Director Data & Application Security BeNeLux, ont ajouté que le besoin de «crypto-agilité» est primordial. De nouvelles percées peuvent survenir à tout moment, ce qui signifie que les systèmes de sécurité doivent être conçus pour s'adapter et mettre en œuvre rapidement de nouvelles normes cryptographiques.

La sécurité de l'IA: un défi technique et humain

En se tournant vers le perturbateur le plus immédiat, l'intelligence artificielle, le panel a exploré les questions de sécurité liées à son utilisation. «Nous devons d'abord faire la différence entre "l'IA pour la sécurité" (AI for Security) et "la sécurité de l'IA" (Security for AI)», a mentionné M. Mairlot. 

Alors que le premier concept se réfère à l'utilisation de l'IA comme un outil pour défendre nos systèmes, le second traite de la protection des modèles d'IA eux-mêmes contre les attaques ou la manipulation. «Tous les produits de sécurité majeurs intègrent désormais l'IA. C'est simplement l'évolution. Mais ce ne sera pas la technologie qui résoudra l'autre problème, qui est la sécurité de l'IA», a souligné M. Mairlot.

Il a fait référence à la liste du Top 10 de l'OWASP, qui met en évidence les risques de sécurité les plus critiques associés aux applications web. «Je recommande aux gens de jeter un œil à cela, car cela explique des risques importants et fournit également des exemples de cas d'utilisation où il est possible de rencontrer ces problèmes», a-t-il conseillé.

M. Bianco a soutenu que le risque le plus important lié à l'IA n'est peut-être pas technique, mais humain. «La plupart d'entre nous ne comprennent pas la technologie», a-t-il déclaré. «Parce qu'on l'a rendue si simple à utiliser, nous l'utilisons sans la comprendre.» 

Si les utilisateurs acceptent, sans esprit critique, les résultats générés par l'IA, ils deviennent vulnérables non seulement à la désinformation, mais aussi aux cyberattaques classiques. «Le type de fraude numéro un actuellement au Luxembourg consiste à payer une facture à partir d'un PDF où les numéros IBAN ont été modifiés», a rappelé M. Bianco à l'auditoire. «La menace n'est pas toujours un deepfake; c'est souvent un échec de la vérification humaine — une faiblesse que la dépendance excessive à l'IA pourrait aggraver».